Sicherung von Apache auf Ubuntu - Teil 2
Dieser Artikel ist Teil der Apache Server Guide-Reihe:
- Sicherung von Apache auf Ubuntu - Teil 1
- Sicherung von Apache auf Ubuntu - Teil 2
- Apache-Performance optimieren - Teil 1
- Apache Performance optimieren - Teil 2
- Einrichten von namensbasiertem Virtualhost Apache
- Einrichten von IP und Port-Based Virtualhost in Apache
- So richten Sie das Kennwortschutz-Webverzeichnis in Apache ein
- Einrichten von Apache Server mit SSL-Unterstützung unter Ubuntu
- Einrichten von Fail2ban, um Apache vor einem DDOS-Angriff zu schützen
- Wie man Webdav mit Apache auf Ubuntu einrichtet
- Überwachen Sie Apache Web Server mit Mod_status
- So schützen Sie sich gegen DDoS mit Mod_evasive auf Apache Server
Mein vorheriger Artikel konzentrierte sich auf grundlegende Sicherheitstipps und -tricks zur Sicherung des Apache-Webservers in Ubuntu.
Hier werde ich Ihnen einige Sicherheitstipps und Tricks zur Sicherung eines Apache-Webservers vorstellen.
Sichern Sie Apache von Clickjacking Attack
Clickjacking ist eine bekannte Schwachstelle des Webservers. Dieser Angriff wird als "UI-Rechtsschutzangriff" bezeichnet. Hierbei handelt es sich um eine bösartige Methode, mit der ein Angreifer die Klicks eines infizierten Nutzers erfassen kann. Clickjacking besteht aus zwei Wörtern - Click und Hijacking. Klicken bedeutet "Mausklicks" und Hijacking bedeutet "einen Benutzer zum Klicken zwingen". Clickjacking bedeutet, dass ein Benutzer gezwungen wird, auf eine Webseite zu klicken, auf die der Hacker klicken möchte, um die gewünschte bösartige Aktivität auszuführen.
Um Ihren Apache-Webserver vor einem Clickjacking-Angriff zu schützen, müssen Sie "X-FRAME-OPTIONS" verwenden, um dies zu verhindern.
Sie können dies tun, indem Sie die Datei "apache2.conf" bearbeiten.
sudo nano /etc/apache2/apache2.conf
Fügen Sie die folgende Zeile in Directory /var/www/html/
:
Kopfzeile immer X-Frame-Optionen SAMEORIGIN anhängen
Speichern Sie die Datei und starten Sie Apache neu.
sudo /etc/init.d/apache2 neustarten
Versuchen Sie nun, einen Webbrowser für den Zugriff auf Ihren Webserver zu öffnen. Überprüfen Sie HTTP-Antwortheader in Firebug; Sie sollten X-Frame-Optionen sehen, wie in der folgenden Abbildung gezeigt.
Deaktivieren Sie Etag
Etags, auch bekannt als "Entity Tags", sind eine Schwachstelle in Apache. Sie ermöglichen es entfernten Benutzern, vertrauliche Informationen wie Inode-Nummer, untergeordnete Prozess-IDs und mehrteilige MIME-Grenze mithilfe des Etag-Headers zu erhalten. Es wird empfohlen, Etag zu deaktivieren.
Sie können dies tun, indem Sie die Datei "apache2.conf" bearbeiten.
sudo nano /etc/apache2/apache2.conf
Fügen Sie die folgende Zeile in Directory /var/www/html/
:
FileETag Keine
Speichern Sie die Datei und starten Sie Apache neu.
Versuchen Sie nun, einen Webbrowser für den Zugriff auf Ihren Webserver zu öffnen. Überprüfen Sie HTTP-Antwortheader in Firebug; Sie sollten Etag überhaupt nicht sehen.
Deaktivieren Sie das alte Protokoll
Das alte HTTP-Protokoll (HTTP 1.0) weist eine Sicherheitslücke im Zusammenhang mit Session-Hijacking- und Clickjacking-Angriffen auf. Es wird empfohlen, das alte Protokoll zu deaktivieren.
Sie können es mit der Regel "mod_rewrite" deaktivieren, indem Sie nur das HTTP 1.1-Protokoll zulassen.
Bearbeiten Sie dazu die Datei "apache2.conf".
sudo nano /etc/apache2/apache2.conf
Fügen Sie die folgende Zeile in Directory /var/www/html/
:
RewriteEngine auf RewriteCond% {THE_REQUEST}! HTTP / 1 \ .1 $ RewriteRule. * - [F]
Speichern Sie die Datei und starten Sie Apache neu.
HTTP-Anforderungsmethoden
In Ubuntu unterstützt das HTTP 1.1-Protokoll viele Anforderungsmethoden wie "OPTIONEN, GET, HEAD, POST, PUT, DELETE, TRACE, CONNECT", die möglicherweise nicht benötigt werden. Es wird empfohlen, nur die Anforderungsmethoden HEAD, POST und GET zu aktivieren.
Um dies zu beheben, bearbeiten Sie die Apache-Konfigurationsdatei.
sudo nano /etc/apache2/apache2.conf
Fügen Sie die folgende Zeile in Directory /var/www/html/
:
abgelehnt von allen
Speichern Sie die Datei und starten Sie Apache neu.
Sichern Sie Apache von einem XSS-Angriff
XSS (auch als Cross-Site-Scripting bezeichnet) ist eine der häufigsten Schwachstellen auf Anwendungsebene. Es ermöglicht einem Angreifer, Code auf dem Ziel-Webserver über den Webbrowser eines Benutzers auszuführen. Angreifer können einen anfälligen XSS-Webserver angreifen, indem sie ein Browser-Side-Scripting (JavaScript) verwenden. Daher wird empfohlen, den XSS-Schutz auf Apache zu aktivieren.
Sie können dies tun, indem Sie die Apache-Konfigurationsdatei bearbeiten.
sudo nano /etc/apache2/apache2.conf
Fügen Sie die folgende Zeile in Directory /var/www/html/
:
Kopfsatz X-XSS-Protection "1; Modus = Block"
Speichern Sie die Datei und starten Sie Apache neu.
Versuchen Sie nun, einen Webbrowser für den Zugriff auf Ihren Webserver zu öffnen. Überprüfen Sie HTTP-Antwortheader in Firebug; Sie sollten die X-XSS-Schutzoptionen sehen, wie in der folgenden Abbildung dargestellt.
Schützen Sie Cookies mit HTTPOnly Flag
Der Cookie HTTPOnly wird auch als sicherer Cookie bezeichnet, der für die Übertragung von HTTP oder HTTPS über das Internet verwendet wird. Es wird empfohlen, "HttpOnly" und "Secure flag" in einem Cookie zu verwenden. Dies schützt Ihren Apache-Webserver vor den häufigsten Angriffen wie CSS, Cookies und Cookies.
Um dies zu beheben, bearbeiten Sie die Apache-Konfigurationsdatei.
sudo nano /etc/apache2/apache2.conf
Fügen Sie die folgende Zeile in Directory /var/www/html/
:
Header bearbeiten Set-Cookie ^ (. *) $ $ 1; HttpOnly; Secure
Speichern Sie die Datei und starten Sie Apache neu.
Fazit
Ich hoffe, Sie haben jetzt genug Wissen, um Ihren Apache Webserver vor verschiedenen Angriffen zu schützen. Wenn Sie Fragen haben, zögern Sie nicht, unten zu kommentieren.